Cisco hat vor aktiven Ausnutzungsversuchen gewarnt, die auf zwei zwei Jahre alte Sicherheitslücken im Cisco AnyConnect Secure Mobility Client für Windows abzielen.
Die Schwachstellen mit den Bezeichnungen CVE-2020-3153 (CVSS-Score: 6.5) und CVE-2020-3433 (CVSS-Score: 7.8) könnten es lokalen, authentifizierten Angreifern ermöglichen, DLLs zu entführen und beliebige Dateien mit erhöhten Rechten in Systemverzeichnisse zu kopieren.
Während CVE-2020-3153 von Cisco im Februar 2020 behoben wurde, wurde ein Fix für CVE-2020-3433 im August 2020 ausgeliefert.
„Im Oktober 2022 wurde das Cisco Product Security Incident Response Team auf weitere Versuche aufmerksam, diese Schwachstelle auszunutzen“, so der Netzwerkausrüster in einem aktualisierten Advisory.
„Cisco empfiehlt seinen Kunden weiterhin dringend, ein Upgrade auf eine gefixte Softwareversion durchzuführen, um diese Sicherheitslücke zu beheben.
Die Warnung kommt, nachdem die U.S. Cybersecurity and Infrastructure Security Agency (CISA) die beiden Schwachstellen in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen hat, zusammen mit vier Fehlern in GIGABYTE-Treibern.
Die Schwachstellen mit den Kennungen CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 und CVE-2018-19323, die im Mai 2020 gepatcht wurden, könnten es einem Angreifer ermöglichen, seine Privilegien zu erweitern und bösartigen Code auszuführen, um die vollständige Kontrolle über ein betroffenes System zu übernehmen.
Die Entwicklung folgt auch auf einen umfassenden Bericht, der letzte Woche von der in Singapur ansässigen Group-IB veröffentlicht wurde und die Taktiken einer russischsprachigen Ransomware-Gruppe namens OldGremlin bei ihren Angriffen auf Unternehmen im Land beschreibt.
Zu den wichtigsten Methoden, um sich Zugang zu verschaffen, gehört die Ausnutzung der oben genannten Cisco AnyConnect-Schwachstellen und der GIGABYTE-Treiberschwächen, um die Sicherheitssoftware zu deaktivieren, die auch von der Ransomware-Gruppe BlackByte eingesetzt wird.